PATVIRTINTA

Lietuvos Respublikos vadovybės

apsaugos tarnybos direktoriaus

2023 m. rugpjūčio 11 d. įsakymu Nr. V-622

ASMENS DUOMENŲ TVARKYMO LIETUVOS RESPUBLIKOS VADOVYBĖS APSAUGOS TARNYBOJE TVARKOS APRAŠAS

I SKYRIUS

BENDROSIOS NUOSTATOS

1. Asmens duomenų tvarkymo Lietuvos Respublikos vadovybės apsaugos tarnyboje (toliau – Tarnyba) tvarkos aprašas (toliau – Aprašas) numato fizinių asmenų (toliau – duomenų subjektai) asmens duomenų tvarkymo reikalavimus, asmens duomenų tvarkymo principų įgyvendinimo tvarką, įgyvendinamas organizacines ir technines asmens duomenų saugumo priemones.

2. Tarnyboje tvarkomų asmens duomenų valdytoja yra Lietuvos Respublikos vadovybės apsaugos tarnyba, juridinio asmens kodas 188639721, adresas: T. Ševčenkos g. 13, LT-03223 Vilnius.

3. Tarnyboje asmens duomenys tvarkomi vadovaujantis:

3.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentu (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (toliau – Reglamentas (ES) 2016/679);

3.2. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos direktyva (ES) 2016/680 dėl fizinių asmenų apsaugos kompetentingoms institucijoms tvarkant asmens duomenis nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas arba bausmių vykdymo tikslais ir dėl laisvo tokių duomenų judėjimo, ir kuriuo panaikinamas Tarybos pamatinis sprendimas 2008/977/TVR (toliau – Direktyva (ES) 2016/680);

3.3. Lietuvos Respublikos asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatymu;

3.4. Lietuvos Respublikos vadovybės apsaugos įstatymu;

3.5. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu;

3.6. Lietuvos Respublikos elektroninių ryšių įstatymu;

3.7. Lietuvos standartais LST ISO/IEC 27001:2017 ir LST ISO/IEC 27002:2017;

3.8. kitais teisės aktais, reglamentuojančiais asmens duomenų tvarkymą ir privatumo apsaugą.

4. Aprašo nuostatų privalo laikytis visi Tarnybos pareigūnai, karjeros valstybės tarnautojai ir darbuotojai, dirbantys pagal darbo sutartis (toliau visi kartu – darbuotojai), kurie tvarko Tarnyboje esančius asmens duomenis arba eidami savo pareigas juos sužino.

5. Apraše vartojamos sąvokos suprantamos taip, kaip jos apibrėžtos Vadovybės apsaugos įstatyme, Reglamente (ES) 2016/679, Direktyvoje (ES) 2016/680, Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme, Asmens duomenų teisinės apsaugos įstatyme, kituose Lietuvos Respublikos teisės aktuose.

6. Tvarkant asmens duomenis, Aprašas taikomas tiek, kiek to nereglamentuoja kriminalinę žvalgybą, tarptautinį bendradarbiavimą reglamentuojantys teisės aktai.

7. Aprašas nėra taikomas tais atvejais, kai yra tvarkomi anoniminiai duomenys. Anoniminiais duomenimis laikoma bet kokia informacija, kuria remiantis duomenų subjektas negali būti tiesiogiai ar netiesiogiai nustatytas duomenų tvarkytojo arba bet kurio kito trečiojo asmens. Pripažįstant asmens duomenis anoniminiais, atsižvelgiama į galimas panaudoti priemones fizinio asmens tapatybei nustatyti bei visus objektyvius veiksnius, pavyzdžiui: sąnaudos ir laiko trukmė, turimos technologijos bei technologinė plėtra.

8. Tais atvejais, kai asmens duomenys yra tvarkomi Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme nurodytais tikslais, duomenų tvarkymas yra teisėtas tik tada, kai jis būtinas šiame punkte nurodytoms funkcijoms įgyvendinti.

II SKYRIUS

DUOMENŲ VALDYTOJO FUNKCIJOS, TEISĖS IR PAREIGOS

9. Tarnyba, tvarkydama asmens duomenis:

9.1. nustato asmens duomenų tvarkymo tikslus ir priemones;

9.2. užtikrina, kad asmens duomenys būtų renkami nustatytais, aiškiai apibrėžtais ir teisėtais tikslais ir toliau tvarkomi tik su tais tikslais suderintu būdu;

9.3. užtikrina, kad asmens duomenys būtų tvarkomi teisėtai, sąžiningai ir skaidriai;

9.4. užtikrina, kad asmens duomenys būtų adekvatūs, tinkami ir tokie, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi;

9.5. užtikrina, kad asmens duomenys būtų tikslūs ir prireikus atnaujinami, o netikslūs asmens duomenys būtų nedelsiant ištrinami arba ištaisomi;

9.6. užtikrina, kad asmens duomenys būtų laikomi tokia forma, kad nustatyti duomenų subjekto tapatybę būtų galima ne ilgiau, nei būtina tais tikslais, kuriais asmens duomenys yra tvarkomi;

9.7. užtikrina, kad būtų taikomos tinkamos techninės ir organizacinės duomenų saugumo priemonės, įskaitant apsaugą nuo duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo ir nuo netyčinio praradimo, sunaikinimo ar sugadinimo;

9.8. užtikrina duomenų subjekto teisių įgyvendinimą.

10. Tarnyba turi šias teises:

10.1. rengti ir priimti vidinius teisės aktus, reglamentuojančius asmens duomenų tvarkymą;

10.2. spręsti prašymus dėl duomenų teikimo;

10.3. įgalioti duomenų tvarkytojus tvarkyti asmens duomenis;

10.4. kitas teisės aktuose numatytas teises.

11. Tarnyba turi šias pareigas:

11.1. užtikrinti, kad asmens duomenys būtų tvarkomi pagal teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą, nustatytus asmens duomenų tvarkymo reikalavimus;

11.2. įdiegti vidinius procesus, užtikrinančius duomenų subjekto teisių įgyvendinimą;

11.3. užtikrinti asmens duomenų saugumą, įgyvendinant tinkamas organizacines ir technines asmens duomenų saugumo priemones;

11.4. paskirti duomenų apsaugos pareigūną (toliau – DAP);

11.5. pildyti duomenų tvarkymo veiklos įrašus;

11.6. teisės aktų numatytais atvejais atlikti poveikio duomenų apsaugai vertinimą;

11.7. valdyti asmens duomenų saugumo pažeidimus ir teisės aktuose nustatytais atvejais pranešti apie juos priežiūros institucijai ir duomenų subjektams;

11.8. kitas teisės aktuose numatytas pareigas.

III SKYRIUS

ASMENS DUOMENŲ TVARKYMO TIKSLAI IR TVARKOMŲ ASMENS

DUOMENŲ KATEGORIJOS

12. Tarnyboje asmens duomenys tvarkomi šiais tikslais:

12.1. asmenų aptarnavimo, jų prašymų, kitų klausimų, susijusių su asmens interesais, nagrinėjimo tikslu (prašymų, skundų, asmenų informavimas apie prašymų, skundų nagrinėjimo eigą ir rezultatus, asmenų aptarnavimas telefonu ir (ar) atvykus į Tarnybą, susirašinėjimo su viešojo administravimo subjektais asmenų prašymų, skundų nagrinėjimo klausimais);

12.2. vidaus administravimo tikslu (esamų, buvusių Tarnybos darbuotojų, kitų asmenų asmens duomenys, reikalingi darbdavio prievolėms įvykdyti ir į pareigas priimtų asmenų teisių įgyvendinimui užtikrinti):

12.2.1. žmogiškųjų išteklių valdymo tikslu (asmens bylų tvarkymas, veiklos vertinimas, mokymai, pretendentų į Tarnybą atrankų ir skyrimo į pareigas organizavimas, praktiką atlikusių ar pretenduojančių atlikti studentų mokymo sutarčių įgyvendinimas ir kita);

12.2.2. finansų valdymo tikslu (darbuotojų darbo užmokesčio mokėjimas, pajamų, socialinio draudimo mokesčių administravimo, darbo laiko apskaita, tarnybinių komandiruočių apskaita, finansinių ir materialinių išteklių naudojimo, finansinės ataskaitos vykdant finansinius įsipareigojimus ir atliekant kitus veiksmus, kuriuose viena šalių yra fizinis asmuo, duomenų teikimas Juridinių asmenų registrui ir kita);

12.2.3. dokumentų ir informacinių sistemų valdymo tikslu (dokumentų valdymo sistema, elektroniniame dokumentų archyve saugomi dokumentų metaduomenys, informacinės sistemos naudotojų indentifikavimas ir autentifikavimas, jų atliekamų veiksmų fiksavimas, naudotojų teisių suteikimas, incidentų administravimas, kopijavimo įrangos duomenys, kompiuterinės prieigos, el. parašo duomenys, mobiliojo parašo naudojimas, įrangos išdavimas ir administravimas ir kita);

12.2.4. turto valdymo tikslu (turto priežiūros ir aptarnavimo organizavimas, darbų saugos, gaisrinės saugos sąrašų sudarymas ir tvarkymas, vizitinių kortelių, antspaudų gamyba ir kita);

12.2.5. vidaus audito atlikimo tikslu (padalinių ir darbuotojų veiklos auditas ir kita);

12.2.6. viešųjų pirkimų organizavimo ir prekių, darbų, paslaugų ir kitų sutarčių administravimo tikslu (turto priežiūra ir aptarnavimas);

12.2.7. vidinės ir išorinės komunikacijos tikslu (visuomenės informavimas apie vykdomą veiklą, interneto svetainės www.vat.lt, Tarnybos socialinio profilio administravimas, kontaktinių duomenų skelbimas);

12.2.8. teikiamos informacijos kokybės užtikrinimo tikslu (asmenų, skambinančių į telefono numerius: 8 706 63111, 8 706 63122, 8 706 63116, 8 706 63081, pokalbio metu įrašyti duomenys);

12.3. atstovavimo Tarnybai teismuose ir kitose ginčo sprendimo institucijose tikslu;

12.4. įslaptintos informacijos ir kito saugomo turto apsaugos užtikrinimo tikslu (įslaptintos informacijos fizinės apsaugos užtikrinimas, Tarnyboje saugomo turto apsauga);

12.5. Vadovybės apsaugos įstatyme pavestų uždavinių įgyvendinimo tikslu:

12.5.1. saugomų asmenų asmens duomenys (dienotvarkės duomenys, kiti duomenys, kurie būtini saugomo asmens saugumui užtikrinti);

12.5.2. saugomų asmenų šeimos narių asmens duomenys (duomenys, kurie būtini saugomo asmens saugumui užtikrinti);

12.5.3. asmenų, galinčių diskredituoti vadovybę, duomenys;

12.5.4. asmenų duomenys, kurie tvarkomi rengiantis saugomų asmenų vizitams, išvykoms;

12.5.5. susirūpinimą keliančių asmenų, galinčių kelti grėsmę saugomiems asmenims ir (ar) saugomiems objektams, asmens duomenys;

12.5.6. asmenų, pageidaujančių patekti (įeiti / įvažiuoti) į Tarnybos saugomus objektus duomenys, vykdant įeigos kontrolę;

12.5.7. asmens duomenys, gauti naudojant technines priemones (vaizdo ir (ar) garso duomenų fiksavimas);

12.5.8. pagal kompetenciją gauti asmens duomenys, atliekant teisės pažeidimų prevenciją.

13. Tarnyboje taip pat gali būti tvarkomi asmens duomenys, kurie yra reikalingi Asmens duomenų, tvarkomų nusikalstamų veikų prevencijos, tyrimo, atskleidimo ar baudžiamojo persekiojimo už jas, bausmių vykdymo arba nacionalinio saugumo ar gynybos tikslais, teisinės apsaugos įstatyme nurodytais tikslais.

IV SKYRIUS

ASMENS DUOMENŲ TVARKYMAS IR SAUGOJIMAS

14. Tarnyba tvarko tik tuos asmens duomenis, kurie būtini kiekvienam konkrečiam duomenų tvarkymo tikslui, nurodytam Aprašo 12 punkte.

15. Asmens duomenys Tarnyboje tvarkomi automatiniu būdu ir (ar) neautomatiniu būdu susistemintose rinkmenose.

16. Asmens duomenys Tarnyboje automatiniu būdu tvarkomi ir saugomi tarnybinėse stotyse, informacinėse sistemose, darbuotojų kompiuteriuose, kitose atminties laikmenose ir (ar) techniniuose įrenginiuose.

17. Asmens duomenys informacinėse sistemose tvarkomi vadovaujantis asmens duomenų tvarkymą reglamentuojančiais teisės aktais, atitinkamos informacinės sistemos nuostatais ir Aprašu.

18. Asmens duomenys Tarnyboje renkami teisės aktų nustatyta tvarka – gaunami tiesiogiai iš duomenų subjekto, valstybės, savivaldybių institucijų ar įstaigų, kitų juridinių ir fizinių asmenų, tvarkančių Tarnybos funkcijoms atlikti reikalingą informaciją ir turinčių teisę ją pateikti Tarnybai.

19. Tarnyba asmens duomenis tikslina, taiso ir atnaujina savo arba asmens, kurio duomenys yra tvarkomi, iniciatyva. Savo iniciatyva Tarnyba turi teisę tikslinti, taisyti ir atnaujinti asmens duomenis tada, kai gaunama informacija apie pasikeitusius asmens duomenis.

20. Tarnyba tvarko asmens duomenis informacinėse sistemose kaip duomenų tvarkytoja atitinkamos informacinės sistemos nuostatų nustatyta tvarka.

21. Asmens duomenys Tarnyboje saugomi tokia forma, kad duomenų subjektų tapatybę būtų galima nustatyti ne ilgiau, nei tai būtina tais tikslais, kuriais asmens duomenys yra tvarkomi.

22. Asmens duomenys, nereikalingi jų tvarkymo tikslams, sunaikinami, jeigu Lietuvos Respublikos teisės aktai nenumato kitaip.

23. Dokumentų saugojimo Tarnyboje terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai ir kiekvienais metais tvirtinami dokumentacijos planai.

24. Informacinėse sistemose įrašyti asmens duomenys saugomi kartu su kitais duomenimis duomenų bazėje. Jų saugojimo terminus ir tvarką reglamentuoja Lietuvos Respublikos teisės aktai.

25. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos turi būti sunaikinti taip, kad jų nebūtų galima atkurti ar atpažinti turinio.

26. Už asmens duomenų sunaikinimą dokumentuose, informacinėse sistemose ir duomenų bazėse atsakingi asmens duomenis tvarkantys Tarnybos administracijos padaliniai.

V SKYRIUS

ASMENS DUOMENŲ TEIKIMAS

27. Tarnyba teikia asmens duomenis duomenų gavėjams – tretiesiems asmenims.

28. Asmens duomenys teikiami pagal asmens duomenų teikimo sutartį (daugkartinio teikimo atveju), pagal prašymą (vienkartinio teikimo atveju) arba Tarnybos iniciatyva, kai reikia apginti teisėtus interesus, vykdyti teisės aktuose nustatytas funkcijas.

29. Jeigu duomenys teikiami pagal sutartį, joje turi būti nurodomas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, sąlygos, tvarka ir teikiamų asmens duomenų apimtis. Jeigu asmens duomenys teikiami pagal prašymą, jame turi būti nurodomas asmens duomenų naudojimo tikslas, teikimo ir gavimo teisinis pagrindas, prašomų pateikti asmens duomenų apimtis.

30. Trečiųjų asmenų prašymai pateikti asmens duomenis išnagrinėjami, įvertinant jų teikimo pagrįstumą. Tarnybos DAP įvertina prašomų asmens duomenų tvarkymo tikslo teisėtumą, asmens duomenų gavėjo tinkamumą, asmens duomenų proporcingumą ir jų teikimo būtinumą. DAP atlikto prašymo pateikti asmens duomenis pagrįstumo vertinimo ataskaita (priedas) užregistruojama Tarnybos dokumentų valdymo sistemoje ir saugoma 5 metus.

31. Asmens duomenys tretiesiems asmenims teikiami šių teisės aktų nustatyta tvarka:

31.1. Tarnybai adresuoti asmenų prašymai, skundai, kiti pateikti klausimai, susiję su fizinių asmenų interesais, jeigu prašymo, skundo, kitų dokumentų nagrinėjimas nėra priskirtinas institucijos kompetencijai, teikiami Lietuvos Respublikos viešojo administravimo įstatymo nustatyta tvarka;

31.2. pirkimų organizavimo (perkant prekes, darbus, paslaugas) tikslu, teikiami Lietuvos Respublikos viešųjų pirkimų įstatymo, Lietuvos Respublikos viešųjų pirkimų, atliekamų saugumo ir gynybos srityje įstatymo ir kitų pirkimus reglamentuojančių teisės aktų nustatyta tvarka;

31.3. pajamų mokesčio administravimo tikslu Valstybinei mokesčių inspekcijai prie Lietuvos Respublikos Finansų ministerijos teikiami Lietuvos Respublikos gyventojų pajamų mokesčio įstatymo nustatyta tvarka;

31.4. socialinio draudimo mokesčio administravimo tikslu Valstybinio socialinio draudimo fondo valdybai prie Socialinės apsaugos ir darbo ministerijos teikiami Lietuvos Respublikos valstybinio socialinio draudimo įstatymo nustatyta tvarka;

31.5. Tarnybai adresuoti asmenų prašymai gauti informaciją, susipažinti ar išduoti dokumentų kopijas, nuorašus ar išrašus fiziniams ir juridiniams asmenims teikiami Viešojo administravimo įstatymo ir Lietuvos Respublikos teisės gauti informaciją iš valstybės ir savivaldybių institucijų ir įstaigų įstatymo nustatyta tvarka;

31.6. darbuotojo prašymu darbo užmokesčio išmokėjimo tikslu bankams teikiami Vadovybės apsaugos įstatymo, Lietuvos Respublikos valstybės tarnybos įstatymo ir Lietuvos Respublikos darbo kodekso nustatyta tvarka;

31.7. darbuotojų nelaimingų atsitikimų tyrimo tikslu Valstybinei darbo inspekcijai prie Socialinės apsaugos ir darbo ministerijos teikiami Lietuvos Respublikos darbuotojų saugos ir sveikatos įstatymo ir kitų teisės aktų nustatyta tvarka.

32. Asmens duomenys teikiami kitiems tretiesiems asmenims, kuriems teikti asmens duomenis Tarnybą įpareigoja įstatymai ar kiti teisės aktai, vadovaujantis Reglamentu (ES) 2016/679 ir kitais teisės aktais.

33. Tarnyba gali teikti asmens duomenis kitiems duomenų tvarkytojams, kurie teikia Tarnybai informacinių sistemų kūrimo, tobulinimo, palaikymo, duomenų centrų ir panašias paslaugas, mokymų organizavimo, turto priežiūros ir aptarnavimo organizavimo, taip pat teikia kitas paslaugas ar atlieka kitus darbus ir tvarko asmens duomenis duomenų valdytojų vardu.

34. Duomenų tvarkytojai turi teisę tvarkyti asmens duomenis tik pagal Tarnybos nurodymus ir tik tiek, kiek tai būtina siekiant tinkamai vykdyti teisės aktuose ar paslaugų teikimo sutartyje nustatytus įsipareigojimus, išskyrus atvejus, kai duomenų tvarkytojo atliekamas asmens duomenų tvarkymas yra reglamentuotas teisės aktuose. Nuostatos, susijusios su asmens duomenų tvarkymu ir apsauga, įtraukiamos į sudaromas su duomenų tvarkytojais sutartis. Tarnyba pasitelkia tik tuos duomenų tvarkytojus, kurie užtikrina, kad tinkamos techninės ir organizacinės priemonės bus įgyvendintos tokiu būdu, kad duomenų tvarkymas atitiktų Reglamento (ES) 2016/679 reikalavimus ir būtų užtikrinta duomenų subjekto apsauga.

35. Bendradarbiaujant su užsienio šalimis, šioms asmens duomenys gali būti teikiami tokia apimtimi, kiek tai yra būtina Tarnybos uždaviniams įgyvendinti.

VI SKYRIUS

REIKALAVIMAI TARNYBOS DABUOTOJAMS,

TVARKANTIEMS ASMENS DUOMENIS

36. Tarnyba užtikrina, kad asmens duomenis tvarkytų ar su jais susipažinti galėtų tik tie Tarnybos darbuotojai, kuriems tokie duomenys yra reikalingi jų funkcijoms atlikti.

37. Tarnybos darbuotojai, tvarkydami asmens duomenis informacinėse sistemose, su asmens duomenimis gali atlikti tik tuos veiksmus, kuriems atlikti yra suteiktos teisės.

38. Tarnybos darbuotojai, tvarkantys asmens duomenis, turi:

38.1. laikytis su asmens duomenų tvarkymu susijusių principų ir saugumo reikalavimų, įtvirtintų Reglamente (ES) 2016/679, Apraše ir kituose teisės aktuose, reglamentuojančiuose asmens duomenų tvarkymą ir privatumo politiką;

38.2. laikytis konfidencialumo principo ir laikyti paslaptyje bet kokią su asmens duomenimis susijusią informaciją, su kuria jie susipažino atlikdami savo funkcijas, nebent tokia informacija yra vieša pagal galiojančius teisės aktų reikalavimus. Prievolė saugoti asmens duomenų paslaptį galioja ir pasitraukus iš tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo santykiams Tarnyboje;

38.3. neatskleisti, neperduoti ar kitu būdu nesudaryti galimybės naudotis ir (ar) susipažinti su asmens duomenimis nė vienam asmeniui, kuriam nėra pavesta dirbti ir (ar) susipažinti su asmens duomenimis Tarnyboje;

38.4. netvarkyti asmens duomenų, jeigu nėra tam įgalioti;

38.5. saugoti dokumentus ir duomenų rinkmenas tinkamai ir saugiai, vengti daryti nereikalingas kopijas; dokumentų kopijos, kuriose nurodomi asmens duomenys, turi būti sunaikintos taip, kad šių dokumentų nebūtų galima atkurti ir atpažinti jų turinio;

38.6. laikytis kitų Apraše ir asmens duomenų apsaugą reglamentuojančiuose teisės aktuose nustatytų reikalavimų;

38.7. Asmens duomenys elektroninėmis ryšio perdavimo priemonėmis gali būti siunčiami užtikrinant perduodamų asmens duomenų konfidencialumą ir vientisumą.

VII SKYRIUS

ORGANIZACINIŲ IR TECHNINIŲ ASMENS DUOMENŲ SAUGUMO

PRIEMONIŲ NAUDOJIMAS IR ATSAKOMYBĖ

39. Tarnyba, saugodama asmens duomenis, įgyvendina ir užtikrina tinkamas organizacines ir technines priemones, skirtas asmens duomenims apsaugoti nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo.

40. Tarnyba užtikrina:

40.1. nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą;

40.2. gebėjimą laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju;

40.3. reguliarių techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo procesą.

41. Dokumentai, kuriuose yra asmens duomenų, ar jų kopijos saugomi tam skirtose patalpose (spintose, seifuose ar panašiai). Jie neturi būti laikomi visiems matomoje prieinamoje vietoje, kad neturintys teisės susipažinti su asmens duomenimis asmenys negalėtų su jais susipažinti.

42. Darbuotojai, kurių kompiuteriuose saugomi asmens duomenys arba iš kurių kompiuterių galima patekti į vietinio tinklo sritis, kuriose yra saugomi asmens duomenys, privalo naudoti slaptažodžius, atitinkančius slaptažodžiams keliamus reikalavimus.

VIII SKYRIUS

ASMENS DUOMENŲ SAUGUMO PAŽEIDIMŲ VALDYMO

IR REAGAVIMO Į ŠIUOS PAŽEIDIMUS TVARKA

43. Kiekvienas Tarnybos darbuotojas, pastebėjęs ar sužinojęs apie asmens duomenų saugumo pažeidimą ar kitą su asmens duomenimis įvykusį incidentą, privalo nedelsdamas pranešti DAP ir savo tiesioginiam vadovui.

44. Saugumo pažeidimų valdymas ir reagavimas Tarnyboje įgyvendinamas vadovaujantis Tarnybos direktoriaus įsakymu patvirtinto Lietuvos Respublikos vadovybės apsaugos tarnybos asmens duomenų saugumo pažeidimų valdymo tvarkos aprašo nuostatomis.

IX SKYRIUS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

45. Reglamento (ES) 2016/679 35 straipsnio ir Valstybinės duomenų apsaugos inspekcijos nustatytais atvejais Tarnyboje atliekamas poveikio duomenų apsaugai vertinimas.

46. Poveikio duomenų apsaugai vertinimas atliekamas vadovaujantis Tarnybos direktoriaus įsakymu patvirtinto Poveikio duomenų apsaugai vertinimo ir Interesų balanso testo atlikimo Lietuvos Respublikos vadovybės apsaugos tarnyboje tvarkos aprašo nuostatomis.

X SKYRIUS

DUOMENŲ SUBJEKTŲ TEISIŲ ĮGYVENDINIMO TVARKA

47. Tarnyba užtikrina duomenų subjektų teisių, įtvirtintų Reglamente (ES) 2016/679, įgyvendinimą.

48. Informacija apie asmens duomenų tvarkymą ir duomenų subjektų teisių įgyvendinimą Tarnyboje skelbiama interneto svetainėje www.vat.lt, skiltyje „Asmens duomenų apsauga“.

49. Duomenų subjekto teisės Tarnyboje įgyvendinamos vadovaujantis Reglamentu (ES) 2016/679 ir Tarnybos direktoriaus įsakymu patvirtintomis Duomenų subjektų teisių įgyvendinimo Lietuvos Respublikos vadovybės apsaugos tarnyboje tvarkos aprašo nuostatomis.

XI SKYRIUS

DUOMENŲ APSAUGOS PAREIGŪNAS

50. Tarnyboje yra paskiriamas DAP.

51. Tarnyba skiria DAP atsižvelgdama į jo turimas duomenų apsaugos teisės ir praktikos ekspertines žinias, profesines savybes, gebėjimus atlikti DAP priskirtas funkcijas.

52. Tarnyba užtikrina DAP garantijas, įtvirtintas Reglamento (ES) 2016/679 38 straipsnyje.

53. DAP funkcijoms atlikti ir bendradarbiauti su šiuo pareigūnu sukuriama specialiai tam skirta elektroninio pašto dėžutė adresu duomenuapsauga@vat.lt, kuri skelbiama Tarnybos internetiniame puslapyje www.vat.lt.

54. Tarnyba apie DAP paskyrimą praneša Valstybinei duomenų apsaugos inspekcijai.

55. Tarnybos darbuotojai, tvarkantys asmens duomenis ar organizuojantys jų tvarkymą, siekdami užkirsti kelią atsitiktiniam ar neteisėtam duomenų tvarkymui, privalo konsultuotis su DAP ir gauti jo nuomonę šiais atvejais:

55.1. keičiant esamus ar nustatant naujus asmens duomenų tvarkymo procesus;

55.2. tobulinant esamas ar diegiant naujas su asmens duomenų tvarkymu susijusias sistemas ar programas;

55.3. atliekant poveikio duomenų apsaugai vertinimą;

55.4. rengiant su asmens duomenų tvarkymu susijusius vidaus teisės aktus;

55.5. rengiant naujas ar keičiant esamas asmens duomenų teikimo, duomenų tvarkymo sutartis;

55.6. sprendžiant klausimus dėl asmens duomenų teikimo tretiesiems asmenims, jeigu toks teikimas nėra numatytas asmens duomenų teikimo sutartyje ar nėra reglamentuotas teisės aktuose;

55.7. kitais atvejais, jeigu klausimas susijęs su asmens duomenų apsauga Tarnyboje.

56. Tarnybos darbuotojai turi teisę kreiptis į DAP ir kitais atvejais, jeigu mano, kad DAP nuomonė yra reikalinga.

57. Tarnybos darbuotojai privalo bendradarbiauti su DAP ir teikti jam informaciją apie vykdomą asmens duomenų tvarkymą.

58. DAP privalo teisės aktų tvarka užtikrinti gautos informacijos, susijusios su jo užduočių vykdymu, slaptumą arba konfidencialumą.

XII SKYRIUS

BAIGIAMOSIOS NUOSTATOS

59. Tarnybos darbuotojai su Aprašu supažindinami per dokumentų valdymo sistemą.

60. Darbuotojai, pažeidę Aprašo reikalavimus, atsako pagal galiojančius Lietuvos Respublikos įstatymus.

61. Aprašas peržiūrimas įvykus esminiams organizaciniams, sisteminiams ar kitiems asmens duomenų tvarkymo ir (ar) veiklos pokyčiams arba pasikeitus teisės aktų reikalavimams.

62. Tarnybos veiksmai ar neveikimas, kuriais pažeidžiami teisės aktai, reglamentuojantys asmens duomenų apsaugą ir tvarkymą, gali būti skundžiami Valstybinei duomenų apsaugos inspekcijai arba teismui Lietuvos Respublikos administracinių bylų teisenos įstatymo nustatyta tvarka.

________________________